Omrežna forenzika je zajem, zapis in analiza omrežnih dogodkov. Njen namen je odkriti izvor varnostih napadov in ostalih incidentov.

Posebnost preiskav v računalniških omrežjih je v tem, da moramo preiskovati ogromno informacij (dogodkov), ki hitro nastajajo. Prometni podatki v omrežju se običajno ne beležijo, ali pa se beležijo le na usmerjevalnikih v sklopu spomina, ki je tam na voljo, kar pomeni, da se sicer dogodki zabeležijo, pa tudi kmalu pobrišejo, ker jih prepišejo novi. V omrežni forenziki moramo poskrbeti, da se to ne zgodi, kar dosežemo s SIEM sistemi, ki te dogodke beležijo na bolj pameten način. Poleg SIEM sistemov pa potem vsaj za zanimive povezave potrebujemo napravo, ki zajame tudi same pakete in kasneje rekonstruira celotno komunikacijo. Poceni izvedba take naprave je recimo WireShark, zelo draga pa IBMov sistem qradar, ki zna iz zajetih paketov nazaj sestaviti recimo telefonski pogovor ali e-pošto z Word priponko.

Vdori v omrežje so neizbežni

Srednje ali večje podjetje ima v svojem omrežju običajno tako veliko strežnikov, aktivnih naprav in raznih spletnih in drugih elektronskih storitev, da je dostop do njih praktično nemogoče v celoti nadzirati.

Posebej v povezavi z ribarjenjem in drugimi tehnikami, s katerimi katerega od zaposlenih zmedejo ali prelisičijo tako, da jim na koncu vede ali nevede preda dostopne podatke, je utopično verjeti, da lahko postavimo tak varnostni sistem, da ga noben napadalec ne bo premagal.

Ostane nam torej, da stalno nadziramo omrežje in ukrepamo čim prej, ko se v njem začnejo pojavljati znaki, da napadalci delajo nekaj, kar nam ni po godu.

Pri tem imamo še eno težavo: napadalci so običajno kar spretni pri prekrivanju sledi svojih dejanj. Če se denimo povežejo na naš strežnik, običajno poskrbijo, da dostopne log datoteke spremenijo ali pobrišejo, tako da jih preko tega zelo težko izsledimo. Edino, kar nam preostane, so mrežni prenosni podatki.

Zaradi vsega omenjenega je smiselno predpostavljati, da se nam je vdor že zgodil.  

Dva načina zbiranja podatkov na omrežnem nivoju

Simson Garfinkel, avtor več knjig o varnosti, je definiral dva načina zbiranja podatkov na nivoju omrežja: bolj grobi pristop z imenom “Ujemi, kakor gre” (angl. “Catch-it-as-you-can”)  in bolj inteligentni pristop “Zaustavi, opazuj in poslušaj” (angl. “Stop, look and listen”.)

  1. Sistemi “Ujemi, kakor gre” prestrežejo vse mrežne paketke, ki potujejo skozi določeno točko prometa in jih shranijo, da jih kasneje lahko analizirajo v zaledni obdelavi. Ta pristop zahteva velik obseg hrambe. Pri tem pristopu lahko nastanejo pravne težave, saj se shrani čisto vse pakete, vključno s podatki uporabnikov, kar ni nujno legalno.
  2. Sistemi “Zaustavi, opazuj in poslušaj”: vsak paket je analiziran na elementaren način v spominu in le določene informacije so shranjene za bodočo analizo. Ta pristop zahteva sicer manj hrambene kapacitete, zato pa potrebuje hitrejši procesor, ki sledi vhodnemu prometu.

Oba pristopa potrebujeta precejšnjo kapaciteto hrambe. Občasno je potrebno izbrisati starejše podatke, da se ustvari prostor za nove. Za zajem in analizo podatkov se lahko uporablja open source programe kot sta tcpdump in windump, kakor tudi vrsto komercialnih rešitev.

Za hranjenje dogodkov obstaja mnogo komercialnih rešitev, odprtokodna, s katero se ukvarjamo, pa je: https://www.alienvault.com/products/ossim/download

virtua_fortinet_gold_partner

Omrežna forenzika z opremo
Fortinet in Alien Vault

BREZPLAČNI WEBINAR

DATUM: 23.6.2016
URA: 13:00 – 13:40

PRIJAVLJAM SE NA WEBINAR
Share This

Spletno mesto uporablja piškotke zaradi boljše uporabniške izkušnje. Z uporabo naše spletne strani potrjujete, da se z njihovo uporabo strinjate. Več o tem.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close